Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Die search.php durchsucht die Homepage, das Script habe ich vor ewiger Zeit gekauft...
    im Stammverzeichnis liegt die eigentliche Homepage und im Verzeichnis /forum das wbb.


    Zusatz: alle Dateien sind auf 644, ausser die Datein vom Forum.


    Ich habe auch keine Probleme, bin jetzt nur ziemlich verunsichert.

    Danke und Grüße aus Österreich,


    Peter

  • Häng mal die search.php hier an, die scheint befallen zu sein. Die anderen sind wahrscheinlich Falschmeldungen in Javascript ist function(){ ein ganz normaler Funktionsaufruf und kommt in jedem Framework hunderte Male vor.

  • Ojeee, das geht nicht mehr. Habe soeben alles was mit der normalen Suche zu tun hatte, vom Server gelöscht und die Homepage auf "ohne Suche" umgestellt.
    Es war ursprünglich das Suchscript von webdesign.weisshart.de

    Danke und Grüße aus Österreich,


    Peter

  • Ja genau, habe alles mit der Suche gelöscht und die Homepage umgestellt.
    Das hat nichts mit dem Forum zu tun.


    Ich bin nur irritiert wegen der letzten beiden Meldungen bzw das JS mit "3rdparty", ob das seine Richtigkeit hat oder ob das eine von einem Unbekannten hochgeladene datei ist.

    Danke und Grüße aus Österreich,


    Peter

  • Das hat dir doch Oberster Hirte schon erklärt. function() kommt in jedem JavaScript mal vor und ist vollkommen bedeutungslos für Schadcode - normalerweise.

  • Dort ist zwar ein base64 Code vorhanden, aber woher weißt du plötzlich, dass dieser schädlich ist? ;)


    ich habe nicht gesagt, dass er gefährlich ist..... Der Code ist ein wenig anders.


    am Ende des codes steht..... eval(base64_decode($NCiR0aW1lX29sZCA9IDA7IC8vIGb8ciBkaWUgRm9ydHNjaHJpdHRzYW56ZWlnZQNCiR0aW1lX29sZCA9IDA7IC8vIGb8ciBkaWUgRm9ydHNjaHJpdHRzYW56ZWlnZQ));


    Ob dies nun gefährlich ist oder nicht, weis ich nicht.


    GRuß


    Arno

  • Sicherheitshalber habe ich es entfernt.


    Quote

    Das hat dir doch Oberster Hirte schon erklärt. function() kommt in jedem JavaScript mal vor und ist vollkommen bedeutungslos für Schadcode - normalerweise.


    Danke an Oberster Hirte und Black Rider, da bin ich wieder beruhigt.

    Danke und Grüße aus Österreich,


    Peter

  • Hallo zusammen,


    kurzer Zwischenstand:


    Wo der Angriff genau statt gefunden hat, konnten wir noch nicht genau klären. Höchstwahrscheinlich aber über eine Lücke in einem der Plugins (Forum oder Shopsystem). (Wird weiter untersucht)


    Bisher haben wir folgende Maßnahmen ergriffen:


    Sperrung aller exec Funktionen!!!!


    Zur Zeit werden alle betroffenen Dateien vom Server gelöscht.


    Wenn dies geschehen ist, werden alle Backups neu eingespielt.


    Die Rechtevergabe Dateienatribute - 644 / Ordneratribute - 755


    Danach werden wir das Forum neu installieren und vorerst bis zur vollständigen Abklärung kein zusätzliches Plugin verwenden.
    Gleiches werden wir für den Shop umsetzen, da wir immer noch nicht zu 100 % ausschließen können, dass dieser damit nichts zu tun hat.


    Bis zur vollständigen Klärung der Schwachstelle, werden wir weder für das von uns eingesezte Shopsystem noch für die Forensoftware / deren Plugins weitere Empfehlungen an unsere Kunden aussprechen.


    Gruß


    Arno

  • Für mich ergibt sich immer mehr der Eindruck, dass ihr eine ganz stinknormale Server-Grundkonfiguration hattet, die einmal aufgesetzt habt und euch dann weder um Sicherheitsaspekte noch um Sicherheits-Updates gekümmert oder geschweige denn damit beschäftigt habt.
    Es klingt zwar vielleich hart, aber ihr hattet bisher Glück oder es gar nicht bemerkt, dass der Server kompromittiert war.
    Nun versucht ihr die Schuld bei anderer Software zu finden, nur nicht bei euch selber.

    Mit freundlichem Gruß
    Karsten
    Opera und Debian GNU/Linux ... was sonst?

  • Für mich ergibt sich immer mehr der Eindruck, dass ihr eine ganz stinknormale Server-Grundkonfiguration hattet, die einmal aufgesetzt habt und euch dann weder um Sicherheitsaspekte noch um Sicherheits-Updates gekümmert oder geschweige denn damit beschäftigt habt.
    Es klingt zwar vielleich hart, aber ihr hattet bisher Glück oder es gar nicht bemerkt, dass der Server kompromittiert war.
    Nun versucht ihr die Schuld bei anderer Software zu finden, nur nicht bei euch selber.


    Oh ja..... das sind Aussagen, wie ich Sie liebe. Ich bin Reseller und alle Server werden regelmäßig gewartet. Bei dem betroffenen Server handelt es sich um einen VServer, der auch stetig gewartet wird. Neben solchen VServern, Dedizierten Servern vertreiben wir auch gehärtete Plattformen der Firma M-Privacy.


    Unterstelle mir also bitte nicht, ich würde mich nicht um die Sicherheit meiner Kunden mühen.


    Die wird aber nur in den seltensten Fällen genügen, um im Forum keine Fehler wegen nicht beschreibbarer Dateien zu bekommen ;)


    Wenn das der Fall sein sollte, dann werden wir den Forenbetrieb bis zur vollständigen Klärung auf Eis legen. Auf die Domain habe ich bereits eine statische Seite gelegt, welche darauf hinweist, dass der Forenbetrieb zur Zeit eingestellt ist.


    Gruß


    Arno

    • Official Post

    In anbetracht dessen das ihr eine fast 2 Jahre alte Version von proftp benutzt, liegt das Einfallstor wahrscheinlich dort. Ob die Sicherheitslücke die im Oktober 2010 im aktuellen Branch gestopft wurde auch in deiner alten Version vorhanden ist, solltet ihr vielleicht mal überprüfen.

  • Bis zur vollständigen Klärung der Schwachstelle, werden wir weder für das von uns eingesezte Shopsystem noch für die Forensoftware / deren Plugins weitere Empfehlungen an unsere Kunden aussprechen.


    Ganz großes Kino! :rolleyes:
    Wenn man mal Google befragt wird man feststellen das bei allen gehackten WBB3 Foren die Serverkonfiguration, andere fehlerhafte Software, zu leichte FTP und Admin Passwörter oder der sog. "Admin" selbst schuld war.


    Andererseits sollte man mal schauen worauf sich die "Wartungsverträge" beziehen. Wartung bedeutet auch nicht zwangsläufig nach irgendeiner Lücke zu suchen die irgendein Dussel aufgerissen hat.

  • Oh ja..... das sind Aussagen, wie ich Sie liebe. Ich bin Reseller und alle Server werden regelmäßig gewartet. Bei dem betroffenen Server handelt es sich um einen VServer, der auch stetig gewartet wird.


    Sorry, wenn ich mich noch mal einmische,
    Ich habe eben mal geschaut wie sich der FTP-Server hier Proftpd meldet....
    Version 1.3.2.e ... Ihr habt wohl noch nie, nie etwas von Sicherheitsupdates gehört, oder?


    Diese Sicherheitslücke betraf alle Versionen nach 1.3.2rc3, also auch die von euch benutzte.


    Siehe auch frühere Infos:

    Weiterhin ist es durchaus möglich, dass der ftpd eine bekannte Lücke hat und diese benutzt wurde, Es gibt so viele Möglichkeiten...

    Wenn auf dem Server proFTP verwendet wird, dann würde ich das auch mal auf Sicherheitslücken prüfen, das hat auch gerne mal welche.


    Und auch das ist in meinen Augen nicht ein Fehler der Software, sondern von euch.


    Genauso, wenn es nicht der Proftpd gewesen ist, sondern eine andere Software und/oder in Zusammenhang mit der übrigen Serverkonfiguration.


    Edit: Ich halte mich aus dem Thread jetzt raus. Das gehört zum täglichen 1x1 eines Serverbetreibers, ob nun vServer, root oder Hoster.

    Mit freundlichem Gruß
    Karsten
    Opera und Debian GNU/Linux ... was sonst?

    • Official Post

    Zum aktuellen Zeitpunkt sind keine Sicherheitslücken in der aktuellen Version von Burning Board bzw. Community Framework bekannt. Ich bitte daher ausdrücklich, von möglicherweise geschäftsschädigenden Anschuldigungen abzusehen solange keine nachprüfbaren Beweise zu Lasten unserer Software vorgebracht werden können.